Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Installation auf CentOS

Im Folgenden beschreiben wir das Setup und die Konfiguration der Prelude-OSS- Version auf CentOS 6. Unter [4] sind eine Vielzahl von Installationsquellen für unterschiedliche Linux-Distributionen sowie einige BSD- und andere Unix-Varianten zu finden. Für CentOS 6 müssen Sie das entsprechende Release-RPM installieren, um Zugang zum Prelude-Software-Repository zu bekommen. Zusätzlich brauchen Sie das Release-RPM für die Extra Packages for Enterprise Linux (EPEL) [5]. Die beiden Pakete installieren Sie so:

 

Anschließend finden Sie unterhalb von "/etc/yum.repos.d/" zwei neue yum-Konfigurationsdateien, die den Zugriff auf die beiden Software-Repositories ermöglichen. Außerdem benötigt Prelude das Crypto-Framework GnuTLS, das Sie also ebenfalls auf den Prelude-Systemen installieren müssen.

Als eine der wichtigsten Prelude-Komponenten ist zuerst der Prelude-Manager zu installieren. Er ist die Schnittstelle zwischen den Agenten und der grafischen Console für den Zugriff auf die eingesammelten Daten. Der Manager arbeitet im Backend mit einer Datenbank (MySQL, PostgreSQL oder SQLite) und kann, je nach Konfiguration, Alerts erzeugen, die dann über die zuvor definierten Kommunikationswege versendet werden. So ist es beispielsweise möglich, für Alerts mit einer hohen Priorität umgehend eine E-Mail zu versenden, während andere Alerts nur in einer täglichen Zusammenfassung aufgeführt sind.

Die Installation setzt voraus, dass libprelude auf dem Management-System bereits installiert ist. Dieses Paket ist in den meisten Linux-Distributionen bereits enthalten und lässt sich somit direkt aus dem Standard-Software-Repository der Distribution installieren. Alternativ stehen unter [4] andere Installationsquellen zur Verfügung. Die Bibliothek libprelude stellt eine API für die Prelude-Agenten zur Verfügung, über die sie eine sichere Verbindung mit dem Management-System herstellen können. Desweiteren stehen diverse andere Features zur Verfügung, die von den meisten Agenten benötigt werden. Somit ist es recht leicht möglich, einen bestimmten Sensor "Prelude aware" zu machen, sodass er als Prelude-Agent zum Einsatz kommen kann. In diesem Beispiel-Setup wird das Prelude-Manager-RPM nun mit Hilfe des CentOS-Paketmanagers yum installiert:

 

Sollten nicht alle vom Prelude-Manager benötigten Pakete bereits installiert sein, löst der yum-Paketmanager sie nun selbstständig auf. Bei Bedarf lässt sich das Management-System auch als Docker-Container installieren [6].

Im nächsten Schritt passen Sie die Konfigurationsdatei "/etc/prelude-manager/prelude-manager.conf" entsprechend den eigenen Gegebenheiten an. Hier sind zwei Abschnitte besonders interessant. Zuerst ändern Sie die listen-Anweisung so, dass der Manager an der korrekten Ethernet-Schnittstelle auf eingehende Anfragen lauscht. Idealerweise findet die Kommunikation mit den Sensoren natürlich über ein eigenes VLAN statt, zu Testzwecken ist dies aber nicht notwendig. Als Nächstes passen Sie noch den Datenbank-Abschnitt an. Listing 1 zeigt die Konfiguration für eine MySQL-Datenbank. Die Datenbank selbst wird dann mit den Anweisungen aus Listing 4 eingerichtet.

Listing 1: /etc/prelude-manager/prelude-manager.conf

 

Prewikka als Security-Console einrichten

Prewikka ist die offizielle grafische Security-Console für das Event-Management-System. Es bietet Zugang zu den von Prelude gesammelten Daten und den erzeugten Reports. In der kostenpflichtigen SIEM-Variante von Prelude lassen sich auch externe Tools einbinden. Beispielsweise können Events von bestimmten IP-Adressen auf einer geografischen Karte dargestellt werden. Da auch Prewikka im Backend mit einer Datenbank arbeitet, werden die notwendigen Schritte zum Anlegen der Datenbank ebenfalls in Listing 4 dargestellt. In der Prewikka-Konfigurationsdatei "/etc/prewikka/prewikka.conf" können die Datenbanken bereits eingetragen werden (Listing 2). Die Installation der Console erfolgt wieder mittels yum:

 

Listing 2: /etc/prewikka/prewikka.conf

 

Die Prewikka Console ist als WSGI-Applikation implementiert. Listing 3 zeigt eine beispielhafte Konfiguration für einen Apache-Webserver. Die Anwendung wird hier innerhalb eines virtuellen Hosts gestartet. Achten sie darauf, dass der eingesetzte Apache-Server über das WSGI-Modul verfügt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite